我在一些文章中看到,据说OpenID Connect将取代SAML作为SSO的主要协议 . 我不确定openID connect如何处理与不同服务提供商的会话管理功能以及如何使用它来实现单点注销?目前,是否有支持OpenID连接的IDM服务器(开源或商用)作为SSO IDP(作为SAML2 SSO IDP的替代品)?
PingFederate [免责声明:正如我的名字所说,我为PingIdentity工作]在2013年4月 - 版本7.0中将OIDC构建到产品中 . 此外,我们自2010年12月起通过集成套件支持OpenID .
也就是说,OIDC下的"SLO"是一个全新的球赛 . 我建议阅读OID Spec的Session Management部分 . 它的要点是SLO完全不同于大多数SAML系统实现它的方式,它是非常以用户为中心的,而不是OP或RP特定的 .
最后一件事......虽然OIDC有可能最终取代SAML,但我想指出我们最终在SAML上遇到了严重的雪球效应 . OIDC尚未最终确定,并且需要时间才能迁移到 . 焦点会转变吗?很有可能 . 但这不会发生在今年或者下一年,而且很可能在此之后不会发生 . 如果您正在寻找支持OIDC的前沿产品,那么公平......但如果您真的想要实施,那么机会很少 . 目前还没有很多RP--主要是因为规范不是“最终的” .
我还要提一下,我们的一些竞争对手,如Gluu,Okta,IBM和Layer7已经表现出对OIDC的支持(通过竞争互操作测试),但我不能说他们对当前产品的支持程度 .
OpenAM似乎从第11版开始支持它.wikis.forgerock.org/confluence/display/openam/OpenAM路线图
是的,没问题 . 当他们可以使用2014年的JSON / REST API时,没有人想要使用2005年(移动前)的SOAP / XML标准 . 请参阅Gluu的协议预测:http://www.gluu.co/sso-protocol-predictions
如果您对此表示怀疑,请参阅Forrester的预测... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg注意"moderate success"曲线上的SAML和"significant success"曲线上的OpenID Connect .
问题是SAML供应商不同意破坏变化,而移动/无头API破坏了SAML设计中的一些假设 .
我希望OIDC将随着时间的推移取代基于SAML的身份验证 .
Apache Fediz(自1.3.0版本开始)为* SAML Web SSO * WS-Federation * OIDC提供支持
对Fediz的伟大思考是,它也支持协议桥梁 . 因此,您可以使用SAML Web SSO使用IDP登录,最后登录到OIDC Web门户 . https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html
但是OIDC目前不支持SLO . 但由于它是一个开源项目,所以添加它应该很简单,因为总是欢迎贡献 .
4 回答
PingFederate [免责声明:正如我的名字所说,我为PingIdentity工作]在2013年4月 - 版本7.0中将OIDC构建到产品中 . 此外,我们自2010年12月起通过集成套件支持OpenID .
也就是说,OIDC下的"SLO"是一个全新的球赛 . 我建议阅读OID Spec的Session Management部分 . 它的要点是SLO完全不同于大多数SAML系统实现它的方式,它是非常以用户为中心的,而不是OP或RP特定的 .
最后一件事......虽然OIDC有可能最终取代SAML,但我想指出我们最终在SAML上遇到了严重的雪球效应 . OIDC尚未最终确定,并且需要时间才能迁移到 . 焦点会转变吗?很有可能 . 但这不会发生在今年或者下一年,而且很可能在此之后不会发生 . 如果您正在寻找支持OIDC的前沿产品,那么公平......但如果您真的想要实施,那么机会很少 . 目前还没有很多RP--主要是因为规范不是“最终的” .
我还要提一下,我们的一些竞争对手,如Gluu,Okta,IBM和Layer7已经表现出对OIDC的支持(通过竞争互操作测试),但我不能说他们对当前产品的支持程度 .
OpenAM似乎从第11版开始支持它.wikis.forgerock.org/confluence/display/openam/OpenAM路线图
是的,没问题 . 当他们可以使用2014年的JSON / REST API时,没有人想要使用2005年(移动前)的SOAP / XML标准 . 请参阅Gluu的协议预测:http://www.gluu.co/sso-protocol-predictions
如果您对此表示怀疑,请参阅Forrester的预测... http://www.gluu.org/blog/wp-content/uploads/2014/06/eve_uma_irmsummit_2014-300x225.jpg注意"moderate success"曲线上的SAML和"significant success"曲线上的OpenID Connect .
问题是SAML供应商不同意破坏变化,而移动/无头API破坏了SAML设计中的一些假设 .
我希望OIDC将随着时间的推移取代基于SAML的身份验证 .
Apache Fediz(自1.3.0版本开始)为* SAML Web SSO * WS-Federation * OIDC提供支持
对Fediz的伟大思考是,它也支持协议桥梁 . 因此,您可以使用SAML Web SSO使用IDP登录,最后登录到OIDC Web门户 . https://cxf.apache.org/fediz.html http://janbernhardt.blogspot.de/2015/12/fediz-with-openid-connect-support-and.html
但是OIDC目前不支持SLO . 但由于它是一个开源项目,所以添加它应该很简单,因为总是欢迎贡献 .